Microsoft Oy Lausunto 07.09.2018 Asia: VM/276/00.01.00.01/2018 Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta Yhteenveto Kommentit yhteenvetoon: Taustaa linjauksille Kommentit taustaan: Linjausten tavoitteet Kommentit tavoitteisiin: Linjausten tavoitteet ovat kaikki kannatettavia. Erityisen positiivista on linjausten takana oleva selkeä tahtotila uuden teknologian käytön mahdollistamisessa. Pilvipalvelujen hankinta, käyttöönotto, hyödyntäminen, hallinta ja operointi vaativat organisaatioilta kokonaan uudenlaista ICTosaamista. Pilvipalvelujen hyödyntämisessä todella menestyneet organisaatiot ovat erityisesti panostaneet ICThenkilöstön osaamiseen ja sen kehittämiseen. ICThenkilöstön osaamisprofiili muuttuu fyysisten tilojen ja laitteistojen ylläpitämisestä ketterään organisaation toiminnan kehittämiseen. Riskiperustainen lähestyminen tietoturvallisuuden arviointiin on kannatettavaa. Olisi suotavaa, ettei organisaatioita jätetä riskienarvioinnin suhteen kuitenkaan yksin. Näiden linjausten tulisi antaa selkeät reunaehdot ja selkänoja julkishallinnon organisaatioille pilvipalvelujen täysimittaisessa hyödyntämisessä. Lisäksi on huomattava, että pilvipalveluiden tarjoajilla ja kumppaneilla on jo olemassa hyviä käytäntöjä ja kokemusta riskien tunnistamiseen, hallintaan sekä hallintakeinoja. Molempia tahojen kanssa tuleekin tehdä yhteistyötä riskienarviointia ja hallintaa tehdessä. Lausuntopalvelu.fi 1/7
Pilvipalveluiden edut sekä toteutus ja palvelumallit Pilvipalvelu on määritelty linjausten luvussa 4 (ja osin luvussa 5). Käsitteiden määritteleminen on tärkeää väärinkäsitysten välttämiseksi ja yhteismitallisuuden varmistamiseksi tulevaisuudessa. On erinomaista, että käsitteet määritellään, mutta ne poikkeavat ratkaisevasti alalla vallitsevista, yleisesti hyväksytyistä pilvipalvelun määritelmistä. Tällainen määritelmä on esimerkiksi The NIST Definition of Cloud Computing 800145 (https://csrc.nist.gov/publications/detail/sp/800145/final). NIST:n määritelmän mukaan pilvipalvelun tunnusmerkkejä ovat itsepalveluperiaate, nopeat tietoliikenneyhteydet, jaettu kapasiteetti, nopea skaalautuvuus sekä mitattu palvelu. Mitatulla palvelulla tarkoitetaan tässä yhteydessä mm. käytön mukaan tapahtuvaa laskutusta. Pilviteknologian edut Linjauksissa on ansiokkaasti kuvattu pilviteknologioiden tuomia etuja. Lueteltujen etujen lisäksi tulisi listata myös seuraavat: ketteryys, modernit sovellukset (kuten esim. FaaSpalveluja hyödyntävät), ICThenkilöstön ajan vapautuminen organisaation digitalisaation kannalta oleellisimpiin tehtäviin, hyperskaalan pilvikapasiteetin käytännössä rajaton suorituskyky sekä mainitun tietoturvan lisäksi saatavuus ja luotettavuus. Pilvipalvelujen käytön edut tulevat erityisesti esiin, kun niitä tarkastelee organisaation liiketoiminnan kehittämisen näkökulmasta. Pilvitoimintamalli mahdollistaa moninkertaisen ketteryyden, joustavuuden, skaalautuvuuden jne. Nykyaikaiset sovelluskehitysmallit, kuten DevOps ja ketterät menetelmät pääsevät todella oikeuksiinsa vasta pilviteknologioiden myötä. Kun sovelluskehitystä voidaan oikeasti toteuttaa ketterästi ja käyttämällä uusimpia teknologioita, saavutetaan nopeammat kehitysajat ( Time to Market ) ja sitä kautta päästään tekemään oikeaa, todellista digitalisaatiota. Palvelumallit Pilvipalvelun palvelumalleja ovat Saas, PaaS sekä Iaas. Oma konesali tai isännöity konesali ei kuulu näiden joukkoon. Tulevaisuudessa palvelumallien joukkoon lisättäneen FaaS (Functions as a Service) ja CaaS (Containers as a Service) ellei niitä katsota kuuluvan PaaSmallin alle. Tulevaisuus huomioiden näistä tulisi lisätä maininta. Toteutusmallit Toteutusmalleja ovat yksityinen pilvi, hybridi pilvi sekä julkinen pilvi. Oma konesali ei kuulu näiden joukkoon vaan yksityinen pilvi voidaan toteuttaa esimerkiksi omasta konesalista. Tässä tunnusmerkkinä on jaetun kapasiteetin käsitteen poistuminen, jolloin koko kapasiteetti on yhden Lausuntopalvelu.fi 2/7
organisaation käytössä. Huomionarvoista on, että yksityinen pilvi voidaan tuottaa myös muualta kuin organisaation omasta konesalista. Tiedon ja palveluiden sijainti, hallinta ja ohjaus Tiedon käsittelyn vaatimukset Tietoturva Tietoturvan osalta linjaukset eivät käytännössä linjaa mitään. Jos näin on tarkoitus, luku voidaan poistaa kokonaan. Tietojen luokittelu. Kts. kommentit Linjauksetluvusta. Tietosuoja Tietosuojan osalta linjaukset eivät käytännössä linjaa mitään. Jos näin on tarkoitus, luku voidaan poistaa. Vaihtoehtoisesti luvussa aiemmin käsitelty EU:n yleinen tietosuojaasetus tulee siirtää tähän yhteyteen. GDPR:n osalta linjaus on kannatettava. Samaan yhteyteen tulee lisätä maininta, että pilvipalvelujen käyttö ei poista rekisterinpitäjän roolia ja velvollisuuksia, sillä pilvipalvelun tuottaja on esimerkiksi Microsoftin Enterprisepalveluja käytettäessä henkilötiedon käsittelijän roolissa. Tiedon ja palveluiden sijainti Maantieteellisten sijaintien jaottelu esitettyyn kolmeen on looginen ja kannatettava. Kts. lausunnon antajan lausunto kohdasta huomiot maantieteellisen sijainnin käsitteen merkityksestä. Palveluiden ohjaus Haasteet Tämän luvun tavoitteet jäävät epäselviksi eivätkä linjaa mitään. Jos luvussa on tarkoitus kuvata pilvipalvelujen käytön riskienhallintaa tai riskienhallintaa yleensä, sitä tulee laajentaa merkittävästi kattaakseen aiheen kokonaisuudessaan. Lausuntopalvelu.fi 3/7
Luvussa on ansiokkaasti kuvattu pilvipalvelujen käytön haasteita lainsäädännön, asetusten ja vaatimusten näkökulmasta. Huomionarvoista on, että samat lait, asetukset ja vaatimukset kohdistuvat myös muihin käsittelyympäristöihin kuin pilvipalveluihin. Auditoinnin näkökulmasta Microsoft näkee pilvipalvelut vertailukelpoisena perinteisiin käsittelyympäristöihin verrattuna. Suuruuden ekonomia antaa mahdollisuuden toteuttaa ja operoida palveluja mm. turvallisuusjohtamisen ja fyysisen turvallisuuden osalta sellaisella tasolla, jonka vain hyperskaalan toimija voi saavuttaa. Nykyisissä arviointimenetelmissä, prosesseissa ja vaatimuskehikoissa on kuitenkin kehitettävää globaalin, jaetun kapasiteetin periaatteilla operoitavan jatkuvasti kehittyvän palvelun arvioitavuuden suhteen. 1. Pilvipalveluita tulee käsitellä kuin mitä tahansa muutakin ICTpalvelun hankintaa tai muutosta 2. Tiedon sijaitessa Suomen rajojen ulkopuolella erityistä on kiinnitettävä huomiota sopimuksiin, palvelun jatkuvuuden turvaamiseen ja tiedon saatavuuteen 3. Pilvipalvelun tulee täyttää hankkivan osapuolen palveluhyöty ja takuuvaatimukset 4. Mikäli pilvipalvelut tarjoavat parhaan palveluhyödyn ja takuun, eikä muita esteitä ole, tulisi se ensisijaisesti valita Linjaus nro 4; on hienoa, että Suomessa ollaan edistyksellisiä ja ymmärretään pilvipalvelujen käytöstä saatavat hyödyt. Tässä lähestytään jo nk. Cloud First ajattelua, joka on monissa maissa osoittautunut julkisen sektorin digitalisaation keskeiseksi menestystekijäksi. 5. Pilvipalveluiden palveluhyötyä ja takuuta tulee arvioida säännöllisesti vähintään kerran vuodessa ja oleellisten sopimusehtojen muuttuessa. Lausuntopalvelu.fi 4/7
Linjaus nro 5; tämä on lähtökohtaisesti kannatettava asia. On kaikkien osapuolten etu, että sopimukset ja niiden ehdot ymmärretään samalla tavalla. 6 Viranomainen ylläpitää listaa hyväksytyistä palveluntarjoajista Linjaus nro 6; tämä on hyvä ja kannatettava menettely. On kuitenkin syytä muistaa, että tähän toimintaan tulee varata myös riittävät resurssit. Listan ajan tasalla pitäminen on oleellisen tärkeää ja tähän tehtävään tulee varata riittävät resurssit. 7. Julkisen tiedon käsittelyä ei rajoiteta 8. Henkilötietoa ja suojaustason IV tietoa voi käsitellä julkisessa pilvessä, kun tietoturva ja suoja on asianmukaisesti toteutettu ja todennettu Linjaus nro 8; on hyvä, että vihdoin linjataan, millä ehdoin suojaustason IV tietoja ja henkilötietoja voidaan julkisissa pilvipalveluissa käsitellä. Tämä antaa organisaatiolle paremmat lähtökohdat pilvipalvelujen käyttöönotossa. Linjaus on kuitenkin hieman epämääräisesti muotoiltu; mitä tarkalleen tarkoittaa tietoturva ja suoja on asianmukaisesti toteutettu ja todennettu ja varmistettu ja asianmukaisesti viranomaisen hyväksymä tapa? 9. Suojaustason III tietoa voi käsitellä viranomaisen hyväksymissä pilvipalveluissa Linjaus nro 9; suojaustason III osalta linjaus on liian tiukka. Linjaus käytännössä sulkee kaikki globaalit, todellisia pilvipalveluja tuottavat toimijat ulos. Erityisesti täytyy olla Suomessa tai EU alueella sijaitsevan toimijan hallinnassa asettaa haasteita globaalissa toimintaympäristössä. Kts. Lausunnon antajan lausunto kohdan huomiot maantieteellisen sijainnin käsitteen merkityksestä. Suosituksia toimenpiteiksi Arviointipankin luominen toteutetuista arvioinneista on kannatettava. Minkään osapuolen näkökulmasta ei ole tehokasta, että jokainen organisaatio tekee omat arviointinsa erikseen kun kyse on vakioiduista pilvipalveluista. Määräajoin suoritettava arviointi, joka hyödyttää kaikkia, on tehokas toimintatapa. Ylätason pilviohjeen ja arkkitehtuurin laatiminen on kannatettavaa, kunhan sen ylläpito jatkossa varmistetaan. Pilvipalvelut kehittyvät jatkuvasti kiihtyvällä vauhdilla ja ohjeen ja arkkitehtuurin on pysyttävä tässä kehityksessä mukana. Lausuntopalvelu.fi 5/7
Ehdotamme jatkotoimenpiteisiin lisättäväksi seuraavaa. Julkishallinnolle luodaan Pilvistrategia, jossa asetetaan pilviteknologian käytön strategiset tavoitteet sekä toimenpiteet niihin pääsemiseksi. Yksi toimenpide on edellä mainittu pilviohjeen ja arkkitehtuurin luominen. Lausunnonantajan lausunto Voitte kirjoittaa lausuntonne alla olevaan tekstikenttään Valtiovarainministeriö on pyytänyt lausuntoa Julkisen hallinnon linjauksista tiedon sijainnista ja hallinnasta (lausuntopyyntö VM/276/00.01.00.01/2018). Linjaukset määrittävät, miten julkisen hallinnon organisaation omistamaa tietoa voidaan sijoittaa ja hallita maantieteellisesti. Microsoft Oy pitää linjauksia erittäin tervetulleina sekä kiittää mahdollisuudesta lausua aiheesta ja lausuu linjausluonnoksesta seuraavaa. Neljännen teollisen vallankumouksen mahdollistavana teknologiana on pilvi. Pilviteknologian avulla organisaatiot toimialasta riippumatta uudistuvat ja luovat uudenlaista liiketoimintaa ja toimintamalleja, joilla luodaan uutta menestystä ja mahdollistetaan tulevaisuuden digitaalinen yhteiskunta. Julkishallinnot ympäri maailman kehittävät toimintaansa pilvipalvelujen avulla. Myös Suomessa pilviteknologian käytölle julkishallinnossa on jatkuvasti kasvava tarve, joten nämä linjaukset tulevat todelliseen tarpeeseen. Suomen julkishallinnolla ei ole tähän mennessä ollut olemassa linjauksia pilvipalvelujen käytölle vaan vastuu niiden käytöstä on ollut yksittäisillä virastoilla. Tämä on johtanut epämääräiseen tilanteeseen, jossa rohkeammat ja innovatiivisemmat organisaatiot ovat jo aloittaneet pilvipalvelujen laajamittaisin hyödyntämisen, kun taas varovaisemmat organisaatiot ovat jääneet kehityksestä jälkeen ja vailla uuden teknologian avulla saavutettavia mahdollisuuksia. Tämän varovaisuuden takia monet organisaatiot ovat jääneet odottamaan julkishallinnon linjauksia aiheuttaen merkittäviä viivästyksiä digitalisaationsa toteuttamisessa. Microsoft haluaa tuoda esiin, että jos pilviteknologioita ja toimintamallia vertaillaan ainoastaan perinteiseen, itse tuotettuun ICTtoimintaan, jäävät niiden koko potentiaali hyödyntämättä ja niiden käytön todelliset hyödyt realisoitumatta. Pilvipalvelujen täysimittainen käyttö ei tarkoita samaa kuin ICTpalvelujen ulkoistaminen, ja tarvitaankin kokonaan uudenlaista toimintamalleja ja organisaation omien toimintatapojen ja prosessien uudistamista. Tämä näkökulma huomioiden linjausten otsikointi ja rajaus on rajoittava. Linjauksissa jo otsikon mukaan käsitellään ja ajatellaan pilvipalvelua maantieteellisenä paikkana. Tämä lähtökohta rajoittaa pilviteknologian (tai koko paradigman) myötä saavutettavia hyötyjä ratkaisevasti. Pilvipalvelujen käyttämistä tulee lähestyä kokonaan uudenlaisena toimintatapana. Niiden täysimääräinen hyödyntäminen edellyttää vanhojen toimintatapojen ja mallien korvaamista uusilla, pilviaikaan sopivilla. Pilvipalvelujen mahdollistama innovaatio ei voi pohjautua vain tiedon maantieteelliseen sijaintiin, vaan modernien sovellutusten rakentaminen tulee aloittaa tämän kaiken mahdollistavan Lausuntopalvelu.fi 6/7
teknologian lähtökohdista. Tietoturvallisuuden ja suojan näkökulmasta pilvipalveluja käytettäessä tulee keskittyä tiedon suojaamiseen kaikissa sen elinkaaren vaiheissa fyysisen, maantieteellisen sijainnin ollessa toissijainen seikka. Tätä ajattelua tukee myös varautuminen tulevaisuuteen, sillä jo lähitulevaisuudessa pilvi käsitteenä tulee muuttumaan ratkaisevasti. Edge Computing (kulkee esim. Microsoftin teknologiassa nimellä Intelligent Edge) tuo globaalin, hajautetun ja kaikkialla läsnäolevan laskentaalustan kaikkialle. Kaikki päätelaitteet (esim. PC:t, tabletit, dronet, älypuhelimet, rannekellot, IoTlaitteet, jne.) ovat osa yhtä ja samaa laskentakapasiteettia, jossa sovellukset ja data liikkuvat saumattomasti mahdollistaen modernien, uuden sukupolven sovellusten syntymisen johtaen todelliseen digitalisaation. Analogiana tähän ilmiöön voidaan ottaa esimerkiksi internetin yleistyminen 1990luvulla tai mobiiliverkkojen leviäminen kaikkialle viimeisen 2000luvulla. Tulevaisuus tulee pitää kirkkaana mielessä kun perustavaa laatua olevia, koko julkishallintoa koskevia linjauksia laaditaan. 7.9.2018 Mikko Viitaila Teknologiajohtaja Microsoft Oy Viitaila Mikko Microsoft Oy Mikko Viitaila, Teknologiajohtaja Lausuntopalvelu.fi 7/7